Cấu hình quy tắc định trước

Hỗ trợ

Hỗ trợ các Giải pháp doanh nghiệp

Kaspersky Endpoint Security 12 cho Windows

Kiểm soát máy tính

Kiểm tra nhật ký

Cấu hình quy tắc định trước

14 Tháng Hai, 2024

ID 235320

Lưu thành PDF

Các quy tắc định trước bao gồm các mẫu hoạt động bất thường trên máy tính được bảo vệ. Hoạt động bất thường có thể báo hiệu một cuộc tấn công có chủ đích. Các quy tắc định trước được cung cấp bởi phân tích hành vi. Bảy quy tắc định trước có sẵn để Kiểm tra nhật ký. Bạn có thể bật hoặc tắt các quy tắc này. Không thể xóa các quy tắc định trước.

Bạn có thể cấu hình tiêu chí kích hoạt cho các quy tắc giám sát sự kiện cho các hoạt động sau:

Phát hiện tấn công vét cạn mật khẩu
Phát hiện đăng nhập mạng

Cách cấu hình quy tắc xác định trước trong Bảng điều khiển quản trị (MMC)

Mở Bảng điều khiển quản trị Kaspersky Security Center.
Trong cây bảng điều khiển, hãy chọn Policies.
Chọn chính sách cần thiết và nhấn đúp để mở các thuộc tính chính sách.
Trong cửa sổ chính sách, hãy chọn Kiểm soát bảo mật → Kiểm tra nhật ký.
Đảm bảo rằng hộp kiểm Kiểm tra nhật ký được chọn.
Trong mục Các quy tắc định trước, hãy nhấn nút Thiết lập.
Chọn hoặc bỏ chọn các hộp kiểm để cấu hình quy tắc định trước:
- Có những biểu hiện của một tấn công vét cạn có thể xảy ra trong hệ thống.
- Đã phát hiện một hoạt động không điển hình trong một phiên đăng nhập mạng.
- Có những biểu hiện về khả năng xảy ra việc lạm dụng Nhật ký sự kiện của Windows.
- Đã phát hiện các hành động không điển hình thay cho một dịch vụ được cài đặt.
- Đã phát hiện hoạt động đăng nhập không điển hình, sử dụng thông tin đăng nhập hiện rõ.
- Có những biểu hiện của một cuộc tấn công Kerberos forged PAC (MS14-068) có thể xảy ra trong hệ thống.
- Đã phát hiện các thay đổi đáng ngờ trong nhóm Quản trị viên đặc quyền tích hợp.
Nếu cần, hãy cấu hình quy tắc Có những biểu hiện của một tấn công vét cạn có thể xảy ra trong hệ thống:
1. Nhấn nút Thiết lập bên dưới quy tắc.
2. Trong cửa sổ mở ra, hãy chỉ định số lần thử và khoảng thời gian phải thực hiện thao tác nhập mật khẩu để quy tắc được kích hoạt.
3. Nhấn vào OK.
Nếu đã chọn Đã phát hiện một hoạt động không điển hình trong một phiên đăng nhập mạng, bạn cần cấu hình thiết lập của nó:
1. Nhấn nút Thiết lập bên dưới quy tắc.
2. Trong mục Phát hiện đăng nhập mạng, hãy chỉ định thời điểm bắt đầu và kết thúc khoảng thời gian.
  Kaspersky Endpoint Security sẽ coi các nỗ lực đăng nhập được thực hiện trong khoảng thời gian được xác định là hoạt động bất thường.
  
  Theo mặc định, khoảng thời gian không được đặt và ứng dụng không giám sát các lượt thử đăng nhập. Để ứng dụng liên tục theo dõi các lượt thử đăng nhập, hãy đặt khoảng thời gian từ 00 giờ 00– 23 giờ 59. Thời điểm bắt đầu và kết thúc khoảng thời gian không được trùng nhau. Nếu trùng nhau, ứng dụng sẽ không giám sát các lần đăng nhập.
3. Tạo danh sách người dùng được tin tưởng và địa chỉ IP được tin tưởng (IPv4 và IPv6).
  Tạo danh sách người dùng từ Active Directory. Kaspersky Endpoint Security không giám sát các nỗ lực đăng nhập của những người dùng và máy tính này.
4. Nhấn vào OK.
Lưu các thay đổi của bạn.

Cách cấu hình quy tắc định trước trong Bảng điều khiển web và Bảng điều khiển đám mây

Trong cửa sổ chính của Bảng điều khiển web, hãy chọn Devices → Policies & profiles.
Nhấn vào tên của chính sách Kaspersky Endpoint Security.
Cửa sổ thuộc tính chính sách sẽ được mở ra.
Chọn thẻ Application settings.
Vào Security Controls → Log Inspection.
Đảm bảo rằng công tắc bật/tắt Log Inspection được bật.
Trong mục Predefined rules, hãy bật hoặc tắt các quy tắc định trước bằng cách sử dụng các nút bật/tắt:
- There are patterns of a possible brute-force attack in the system.
- There is an atypical activity detected during a network logon session.
- There are patterns of a possible Windows Event Log abuse.
- Atypical actions detected on behalf of a new service installed.
- Atypical logon that uses explicit credentials detected.
- There are patterns of a possible Kerberos forged PAC (MS14-068) attack in the system.
1. Suspicious changes detected in the privileged built-in Administrators group.
Nếu cần, hãy cấu hình quy tắc There are patterns of a possible brute-force attack in the system:
1. Nhấn vào Settings bên dưới quy tắc.
2. Trong cửa sổ mở ra, hãy chỉ định số lần thử và khoảng thời gian phải thực hiện thao tác nhập mật khẩu để quy tắc được kích hoạt.
3. Nhấn vào OK.
Nếu đã chọn There is an atypical activity detected during a network logon session, bạn cần cấu hình thiết lập của nó:
1. Nhấn vào Settings bên dưới quy tắc.
2. Trong mục Network logon detection, hãy chỉ định thời điểm bắt đầu và kết thúc khoảng thời gian.
  Kaspersky Endpoint Security sẽ coi các nỗ lực đăng nhập được thực hiện trong khoảng thời gian được xác định là hoạt động bất thường.
  
  Theo mặc định, khoảng thời gian không được đặt và ứng dụng không giám sát các lượt thử đăng nhập. Để ứng dụng liên tục theo dõi các lượt thử đăng nhập, hãy đặt khoảng thời gian từ 00 giờ 00– 23 giờ 59. Thời điểm bắt đầu và kết thúc khoảng thời gian không được trùng nhau. Nếu trùng nhau, ứng dụng sẽ không giám sát các lần đăng nhập.
3. Trong mục Exclusions, hãy thêm người dùng được tin tưởng và địa chỉ IP được tin tưởng (IPv4 và IPv6).
  Tạo danh sách người dùng từ Active Directory. Kaspersky Endpoint Security không giám sát các nỗ lực đăng nhập của những người dùng và máy tính này.
4. Nhấn vào OK.
Lưu các thay đổi của bạn.

Cách cấu hình quy tắc định trước trong giao diện ứng dụng.

Trong cửa sổ chính của ứng dụng, hãy nhấn nút .
Trong cửa sổ thiết lập ứng dụng, hãy chọn Kiểm soát bảo mật → Kiểm tra nhật ký.
Đảm bảo rằng công tắc bật/tắt Kiểm tra nhật ký được bật.
Trong mục Quy tắc định trước, hãy nhấn nút Cấu hình.
Chọn hoặc bỏ chọn các hộp kiểm để cấu hình quy tắc định trước:
- Có những biểu hiện của một tấn công vét cạn có thể xảy ra trong hệ thống.
- Đã phát hiện một hoạt động không điển hình trong một phiên đăng nhập mạng.
- Có những biểu hiện về khả năng xảy ra việc lạm dụng Nhật ký sự kiện của Windows.
- Đã phát hiện các hành động không điển hình thay cho một dịch vụ được cài đặt.
- Đã phát hiện hoạt động đăng nhập không điển hình, sử dụng thông tin đăng nhập hiện rõ.
- Có những biểu hiện của một cuộc tấn công Kerberos forged PAC (MS14-068) có thể xảy ra trong hệ thống.
1. Đã phát hiện các thay đổi đáng ngờ trong nhóm Quản trị viên đặc quyền tích hợp.
Nếu cần, hãy cấu hình quy tắc Có những biểu hiện của một tấn công vét cạn có thể xảy ra trong hệ thống:
1. Nhấn vào Thiết lập bên dưới quy tắc.
2. Trong cửa sổ mở ra, hãy chỉ định số lần thử và khoảng thời gian phải thực hiện thao tác nhập mật khẩu để quy tắc được kích hoạt.
Nếu đã chọn Đã phát hiện một hoạt động không điển hình trong một phiên đăng nhập mạng, bạn cần cấu hình thiết lập của nó:
1. Nhấn vào Thiết lập bên dưới quy tắc.
2. Trong mục Phát hiện đăng nhập mạng, hãy chỉ định thời điểm bắt đầu và kết thúc khoảng thời gian.
  Kaspersky Endpoint Security sẽ coi các nỗ lực đăng nhập được thực hiện trong khoảng thời gian được xác định là hoạt động bất thường.
  
  Theo mặc định, khoảng thời gian không được đặt và ứng dụng không giám sát các lượt thử đăng nhập. Để ứng dụng liên tục theo dõi các lượt thử đăng nhập, hãy đặt khoảng thời gian từ 00 giờ 00– 23 giờ 59. Thời điểm bắt đầu và kết thúc khoảng thời gian không được trùng nhau. Nếu trùng nhau, ứng dụng sẽ không giám sát các lần đăng nhập.
3. Trong mục Loại trừ, hãy thêm người dùng được tin tưởng và địa chỉ IP được tin tưởng (IPv4 và IPv6).
  Tạo danh sách người dùng từ Active Directory. Kaspersky Endpoint Security không giám sát các nỗ lực đăng nhập của những người dùng và máy tính này.
Lưu các thay đổi của bạn.

Kết quả là khi quy tắc kích hoạt, Kaspersky Endpoint Security sẽ tạo sự kiện Nghiêm trọng.

Bạn có thấy bài viết này hữu ích không?

Chúng tôi có thể cải thiện điều gì không?

Cảm ơn bạn đã gửi phản hồi! Bạn đang giúp chúng tôi cải tiến.